NitroTPM: Amazons virtueller Sicherheitschip für Windows und Linux
Ab sofort lassen sich EC2-Systeme mit einer virtuellen TPM-Implementierung sowie UEFI-Support einrichten. Zum Start sind Linux- und Windows-VMs mit an Bord.
(Bild: Photon photo/Shutterstock.com)
Mit dem Support von NitroTPM und UEFI Secure Boot erweitert Amazon die Sicherheitsfunktionen von EC2. Bei letzterer Elastic Compute Cloud handelt es sich um virtuelle Server im AWS-Portfolio, auf deren Basis sich nicht persistente VMs beziehen lassen.
Virtuelle TPM-Implementierung
Bei NitroTPM handelt es sich um eine virtuelle TPM-Implementierung, die der 2.0-Spezifikation entspricht. Getreu dem Namen basiert sie auf dem hauseigenen Nitro-System, das eine auf EC2 zugeschnittene Hardware und einen eigenen Hypervisor umfasst. Die in NitroTPM gesicherten Informationen bleiben also von der virtuellen Maschine isoliert, wie bei einem dedizierten TPM-Chip.
Generell bietet die virtuelle Variante dieselben Funktionen – was ebenfalls das Migrieren von lokalen Systemen und zugehöriger Informationen in die AWS-Cloud umfasst. So lassen sich zum Beispiel die Schlüssel für Microsofts BitLocker hier hinterlegen, auch Linux Unified Key Setup (LUKS) oder dm-verity für Linux sind ohne Umwege mit NitroTPM kompatibel.
Für Windows und Linux
Amazon hat dies mit RHEL 8, SLES 15, Ubuntu 18.04 und 20.04 sowie Windows Server 2016, 2019 und 2022 getestet. Eine weitere Voraussetzung ist eine Nitro-kompatible EC2-Instanz inklusive UEFI-Support, sowohl auf Intel- oder AMD-Basis. Außen vor sind hingegen die Graviton-Server mit ARM-Prozessoren, Mac- und Xen-basierte Instanzen sowie Bare-Metal-Systeme.
Im AWS-Blog stellt Amazon eine Anleitung bereit, wie sich NitroTPM und der notwendige Boot per UEFI aktivieren lassen. Zusätzliche Kosten stehen Kunden hierfür nicht ins Haus. Verfügbar sind die Funktionen ab sofort in allen AWS-Regionen, mit China als Ausnahme.
(fo)
